[分享]Asprotect SKE 2.2 的Advanced Import protection保护技术-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[分享]Asprotect SKE 2.2 的Advanced Import protection保护技术

发表于: 2006-4-7 16:38 46569

[分享]Asprotect SKE 2.2 的Advanced Import protection保护技术

kanxue

2006-4-7 16:38

46569

【文章标题】: Asprotect SKE 2.2 的Advanced Import protection保护技术浅析
【文章作者】: kanxue
【作者主页】: http://www.pediy.com
【软件名称】: Asprotect SKE 2.2 build 03.19 Release加壳的目标软件
--------------------------------------------------------------------------------
  首先感谢shoooo的帮助！春节前那段时间开始学习Asprotect SKE 2.x脱壳技术，由于长时间没接触Asprotect，感觉很是吃力，多亏shoooo无私地将他的许多经验技巧相授，这样才得己掌握这款猛壳的一些脱壳技术。
  本篇文章以Asprotect SKE 2.2 build 03.19 Release加壳的目标为讲解实例（一个Microsoft Visual C++ 6.0编译的程序），压缩选项只选了一项“Advanced Import protection”，Asprotect保护的输入表情况多种，本文仅与大家探讨Advanced Import protection部分，其它更完整的输入表处理类型参考shoooo撰写的Asprotect SKE经典文章：nspack3.5主程序脱壳分析(Aspr SKE 2.X)  ，本文只是将shoooo这篇的文章提到的东西转换成实际操作过程而己。

脱Asprotect SKE 2.x壳会遇到如下情况：
1. Emulate standard system functions（易）
2. Advanced Import protection（中）
3. stolen OEP （脱Asprotect难点就在这，体力＋毅力＋技巧＋时间）
4. SDK    （脱Asprotect难点就在这，体力＋毅力＋技巧＋时间）
5. 初始化表与库函数（Delphi程序）（易）

1.什么是Advanced Import protection

先来看一段加壳的代码，请注意API函数的调用部分：
00401EC5 FF7424 08          push dword ptr [esp+8]
00401EC9 FF15 3C504000       call [<&KERNEL32.GetCurrentProcess>]  //这里，即call [40503C]
00401ECF 50                   push eax
00401ED0 FF15 38504000       call [<&KERNEL32.TerminateProcess>] //这里，即call [405038]
00401ED6 837C24 0C 00       cmp    dword ptr [esp+C], 0

用Advanced Import protection保护后的代码，其API调用转换成了call 01200000形式：
00401EC5 FF7424 08          push dword ptr [esp+8]
00401EC9 E8 32E1DF00          call 01200000             //这里，调用KERNEL32.GetCurrentProcess
00401ECE AA                   stos byte ptr es:[edi]
00401ECF 50                   push eax
00401ED0 E8 2BE1DF00          call 01200000             //这里，调用KERNEL32.TerminateProcess
00401ED5 CA                   db    CA

以下这段文字来自shoooo的文章（稍有改动）：

最初由 shoooo 发布
出处：http://bbs.pediy.com/showthread.php?s=&threadid=19313

01200000什么呢？
它是把导入函数调用的变形，原来的call [IAT] 和 jmp [IAT]的变形
01200000壳用VirtualAlloc的分配的空间，不在区段中
在我的机子上现在是call 01200000，在你的机子上就可能是call 1230000
也就是说，call 01200000壳经过计算后写入的
于是我想看看，在它写入call 01200000前是什么样子

OD载入实例程序，清除所有断点，
对0401ECA下内存写入断点 (因为00401EC9 是'E8'，我们要的是后4个字节)

若干次后会断在这里

00AA6EBF 8945 00 mov [ebp], eax // 断在这儿：ebp指向00401ECA，eax写入后，使那个地方变成call 01200000
00AA6EC2 6A 0A push 0A
00AA6EC4 E8 D3E7FDFF call 00A8569C
00AA6EC9 8BC8 mov ecx, eax
00AA6ECB 038B E4000000 add ecx, [ebx+E4]
00AA6ED1 8BD6 mov edx, esi
00AA6ED3 8BC3 mov eax, ebx
00AA6ED5 E8 AAE6FFFF call 00AA5584
00AA6EDA FF0C24 dec dword ptr [esp]
00AA6EDD 03B3 E4000000 add esi, [ebx+E4]
00AA6EE3 833C24 00 cmp dword ptr [esp], 0
00AA6EE7 ^ 0F87 55FEFFFF ja 00AA6D42 //如果还有需要处理就跳上去
00AA6EED 53 push ebx
00AA6EEE E8 5D000000 call 00AA6F50
00AA6EF3 0183 EC000000 add [ebx+EC], eax
00AA6EF9 B0 01 mov al, 1
00AA6EFB 83C4 24 add esp, 24
00AA6EFE 5D pop ebp
00AA6EFF 5F pop edi
00AA6F00 5E pop esi
00AA6F01 5B pop ebx
00AA6F02 C3 retn //这里结束

正如我所说，call 01200000完全是在代码段解码后，申请空间，现在我申请到的是01200000
那么它就将需要变形的地方计算后写成call 01200000，如果你申请到的是1230000，那么你
是call 1230000

断在这里，我当然想看一看在改写成call 01200000之前，那些地址是不是正常的
很可惜，那里在改写成call 01200000，本身就是乱掉的。
或者在某个时候能知道那些变形地址原先的真实情况，可惜我找不到。
也许只有作者知道在哪里
也许根本就找不到
因为根本就不需要
对于call 01200000，它加密前只要知道2件事，1.本身所在的地址 2.IAT中的位置
对于call 01200000，现在也只要知道2件事，1.本身所在的地址 2.最后要去的导入函数的地址
它没有理由记录IAT中的位置
我们要做的是找出最后到达的导入函数的地址，然后找出它在IAT中的位置
改成原先的call [IAT] 或 jmp [IAT]

回到正题，当我们断下时，前面可能已经处理若干个了
要想得到全部的表
你有好几种选择
1. 到oep后，写一段代码搜索出所有的call 01200000的地址
2. 想办法第一时间断在上面这个地方，即00AA6EBF，ebp-1就是变形的地址，保存所有的ebp-1
3. 也许内存中本身存在这张表，我没有去找，你可以找找

最初由 shoooo 发布
如果是1，当前这个call 01200000处运行时，会重新回到调用地址，再进入导入函数
如果是0，当前这个call 01200000进入导入函数后出来，不过这种方式比较邪恶，它可能做更多的事情

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

md5calculator.rar （219.56kb，250次下载）

收藏・13

免费・0

支持

最新回复 (91) 1 2 3 4 ▶
堀北真希雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 403 粉丝 0 关注私信	堀北真希 1 2 楼完全不懂 2006-4-7 16:39 0
CoDe_Inject 雪币： 229 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	CoDe_Inject 3 楼经典！期待楼主修复oep和sdk的文章。看雪出品，必属精品！ 2006-4-7 17:11 0
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 4 楼呵呵...好帖子 2006-4-7 17:22 0
kyc 雪币： 389 活跃值： (912) 能力值： ( LV9，RANK：770 ) 在线值：发帖 43 回帖 550 粉丝 2 关注私信	kyc 19 5 楼晕............. 2006-4-7 17:33 0
thinkSJ 雪币： 196 活跃值： (135) 能力值： ( LV10，RANK：170 ) 在线值：发帖 9 回帖 611 粉丝 1 关注私信	thinkSJ 4 6 楼晕了.... 2006-4-7 17:49 0
cxts 雪币： 218 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 52 粉丝 1 关注私信	cxts 7 楼看雪出品，必属精品！ 2006-4-7 18:14 0
yujinjianx 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 99 粉丝 0 关注私信	yujinjianx 8 楼精品 2006-4-7 18:36 0
逍遥风雪币： 2256 活跃值： (941) 能力值： (RANK：2210 ) 在线值：发帖 84 回帖 363 粉丝 6 关注私信	逍遥风 55 9 楼学习了闪人~~~~~做CRACKME去喽 2006-4-7 19:02 0
hbqjxhw 雪币： 313 活跃值： (250) 能力值： ( LV9，RANK：650 ) 在线值：发帖 44 回帖 311 粉丝 0 关注私信	hbqjxhw 16 10 楼有壳就怕怕。 2006-4-7 19:32 0
RegKiller 雪币： 191 活跃值： (345) 能力值： ( LV9，RANK：450 ) 在线值：发帖 132 回帖 762 粉丝 3 关注私信	RegKiller 10 11 楼先占个位置。 2006-4-7 20:16 0
大师兄雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 90 粉丝 0 关注私信	大师兄 12 楼作为一个诗人的角度来讲。。。我只能说学习。。。 2006-4-7 21:31 0
fishsss 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	fishsss 13 楼好文章　。先收下来了 2006-4-7 21:40 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 14 楼 qiang 2006-4-7 21:49 0
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 15 楼等出书。。。 2006-4-7 21:50 0
lidou 雪币： 208 活跃值： (41) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	lidou 1 16 楼还能说什么，只能说学习了。 2006-4-7 22:01 0
ywb 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 187 粉丝 1 关注私信	ywb 17 楼我就只能张嘴表示惊叹 2006-4-7 22:26 0
lidou 雪币： 208 活跃值： (41) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	lidou 1 18 楼对00AA6D6D call edx 下硬件执行断点，重新用OD加载实例程序，由于己下硬件断点，因此这次直接断在这里： 00AA6D6D FFD2 call edx //断在这里，此次EBP指向的就要处理的地址 00AA6D6F 807B 20 00 cmp byte ptr [ebx+20], 0 00AA6D73 0F85 3D010000 jnz 00AA6EB6 00AA6D79 3C 01 cmp al, 1 另外一个程序，发现call edx这儿用he截不住，f2报保护错误，看来还得换位置 2006-4-7 22:31 0
ah007 雪币： 250 活跃值： (103) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 199 粉丝 1 关注私信	ah007 2 19 楼博大精深！精彩！！详细！！！ 2006-4-7 22:44 0
水豆腐雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 103 粉丝 0 关注私信	水豆腐 20 楼还能说什么............... 2006-4-7 23:14 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 21 楼最初由 lidou* 发布* 另外一个程序，发现call edx这儿用he截不住，f2报保护错误，看来还得换位置用其他方法，有技巧可循的，提示一下:内存断点。 2006-4-7 23:35 0
完美雪币： 208 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 186 粉丝 0 关注私信	完美 1 22 楼没什么难理解的文章不错就像学理科的人看不懂文科的东西一样其他人能理解 2006-4-8 00:12 0
hnhuqiong 雪币： 184 活跃值： (108) 能力值： ( LV9，RANK：410 ) 在线值：发帖 47 回帖 524 粉丝 3 关注私信	hnhuqiong 10 23 楼我认为ASP 2.2 和 Hying 0.76 在IAT处理上有大量的相似的地方,我不知道到底是不是英雄所见略同. 可惜去年只有syscom 和我有点这样的讨论. http://bbs.pediy.com/showthread.php?s=&threadid=17417 2006-4-8 00:14 0
完美雪币： 208 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 186 粉丝 0 关注私信	完美 1 24 楼楼上的玩 hying 应该比较多吧是略同 2006-4-8 00:40 0
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 25 楼以前我修复call xxxx处理的iat都是乱序建新表，这样很不美丽看了syscom的文章后，我做的iat真是工整又工整我也在脱aspr2.x，iat表已经搞定不过细节有点出入，大体还是相同的在修复oep，正在脱的这个和一般的delphi模板又有点出入。。正在郁闷中，又不想在黑暗中摸索，能找到模板就更好了一般是6个call，或者5个call PUSH EBP MOV EBP,ESP ADD ESP,-10 MOV EAX,44C8B8 CALL 00405BC8 MOV EAX,[44DFB8] MOV EAX,[EAX] CALL 0044B150 MOV ECX,[44E094] MOV EAX,[44DFB8] MOV EAX,[EAX] MOV EDX,[44C6F0] CALL 0044B168 MOV EAX,[44DFB8] MOV EAX,[EAX] CALL 0044B1E8 CALL 00403D20 在第2个call“CALL 0044B150”出来后的代码是 ADD ESP,-20 LEA EAX,[ESP+8] PUSH EAX call 0040756C - FF25 58235100 JMP [512358] ; kernel32.GetLocalTime MOV CX,[ESP+E] MOV DX,[ESP+A] MOV AX,[ESP+8] 如果有人碰到这样的delphi，请发给我用下。。。手动修复oep就方便多了 2006-4-8 00:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

kanxue

2375

发帖

17045

回帖

350

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (91) 1 2 3 4 ▶
堀北真希雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 403 粉丝 0 关注私信	堀北真希 1 2 楼完全不懂 2006-4-7 16:39 0
CoDe_Inject 雪币： 229 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	CoDe_Inject 3 楼经典！期待楼主修复oep和sdk的文章。看雪出品，必属精品！ 2006-4-7 17:11 0
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 4 楼呵呵...好帖子 2006-4-7 17:22 0
kyc 雪币： 389 活跃值： (912) 能力值： ( LV9，RANK：770 ) 在线值：发帖 43 回帖 550 粉丝 2 关注私信	kyc 19 5 楼晕............. 2006-4-7 17:33 0
thinkSJ 雪币： 196 活跃值： (135) 能力值： ( LV10，RANK：170 ) 在线值：发帖 9 回帖 611 粉丝 1 关注私信	thinkSJ 4 6 楼晕了.... 2006-4-7 17:49 0
cxts 雪币： 218 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 52 粉丝 1 关注私信	cxts 7 楼看雪出品，必属精品！ 2006-4-7 18:14 0
yujinjianx 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 99 粉丝 0 关注私信	yujinjianx 8 楼精品 2006-4-7 18:36 0
逍遥风雪币： 2256 活跃值： (941) 能力值： (RANK：2210 ) 在线值：发帖 84 回帖 363 粉丝 6 关注私信	逍遥风 55 9 楼学习了闪人~~~~~做CRACKME去喽 2006-4-7 19:02 0
hbqjxhw 雪币： 313 活跃值： (250) 能力值： ( LV9，RANK：650 ) 在线值：发帖 44 回帖 311 粉丝 0 关注私信	hbqjxhw 16 10 楼有壳就怕怕。 2006-4-7 19:32 0
RegKiller 雪币： 191 活跃值： (345) 能力值： ( LV9，RANK：450 ) 在线值：发帖 132 回帖 762 粉丝 3 关注私信	RegKiller 10 11 楼先占个位置。 2006-4-7 20:16 0
大师兄雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 90 粉丝 0 关注私信	大师兄 12 楼作为一个诗人的角度来讲。。。我只能说学习。。。 2006-4-7 21:31 0
fishsss 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	fishsss 13 楼好文章　。先收下来了 2006-4-7 21:40 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 14 楼 qiang 2006-4-7 21:49 0
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 15 楼等出书。。。 2006-4-7 21:50 0
lidou 雪币： 208 活跃值： (41) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	lidou 1 16 楼还能说什么，只能说学习了。 2006-4-7 22:01 0
ywb 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 187 粉丝 1 关注私信	ywb 17 楼我就只能张嘴表示惊叹 2006-4-7 22:26 0
lidou 雪币： 208 活跃值： (41) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	lidou 1 18 楼对00AA6D6D call edx 下硬件执行断点，重新用OD加载实例程序，由于己下硬件断点，因此这次直接断在这里： 00AA6D6D FFD2 call edx //断在这里，此次EBP指向的就要处理的地址 00AA6D6F 807B 20 00 cmp byte ptr [ebx+20], 0 00AA6D73 0F85 3D010000 jnz 00AA6EB6 00AA6D79 3C 01 cmp al, 1 另外一个程序，发现call edx这儿用he截不住，f2报保护错误，看来还得换位置 2006-4-7 22:31 0
ah007 雪币： 250 活跃值： (103) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 199 粉丝 1 关注私信	ah007 2 19 楼博大精深！精彩！！详细！！！ 2006-4-7 22:44 0
水豆腐雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 103 粉丝 0 关注私信	水豆腐 20 楼还能说什么............... 2006-4-7 23:14 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 21 楼最初由 lidou* 发布* 另外一个程序，发现call edx这儿用he截不住，f2报保护错误，看来还得换位置用其他方法，有技巧可循的，提示一下:内存断点。 2006-4-7 23:35 0
完美雪币： 208 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 186 粉丝 0 关注私信	完美 1 22 楼没什么难理解的文章不错就像学理科的人看不懂文科的东西一样其他人能理解 2006-4-8 00:12 0
hnhuqiong 雪币： 184 活跃值： (108) 能力值： ( LV9，RANK：410 ) 在线值：发帖 47 回帖 524 粉丝 3 关注私信	hnhuqiong 10 23 楼我认为ASP 2.2 和 Hying 0.76 在IAT处理上有大量的相似的地方,我不知道到底是不是英雄所见略同. 可惜去年只有syscom 和我有点这样的讨论. http://bbs.pediy.com/showthread.php?s=&threadid=17417 2006-4-8 00:14 0
完美雪币： 208 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 186 粉丝 0 关注私信	完美 1 24 楼楼上的玩 hying 应该比较多吧是略同 2006-4-8 00:40 0
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 25 楼以前我修复call xxxx处理的iat都是乱序建新表，这样很不美丽看了syscom的文章后，我做的iat真是工整又工整我也在脱aspr2.x，iat表已经搞定不过细节有点出入，大体还是相同的在修复oep，正在脱的这个和一般的delphi模板又有点出入。。正在郁闷中，又不想在黑暗中摸索，能找到模板就更好了一般是6个call，或者5个call PUSH EBP MOV EBP,ESP ADD ESP,-10 MOV EAX,44C8B8 CALL 00405BC8 MOV EAX,[44DFB8] MOV EAX,[EAX] CALL 0044B150 MOV ECX,[44E094] MOV EAX,[44DFB8] MOV EAX,[EAX] MOV EDX,[44C6F0] CALL 0044B168 MOV EAX,[44DFB8] MOV EAX,[EAX] CALL 0044B1E8 CALL 00403D20 在第2个call“CALL 0044B150”出来后的代码是 ADD ESP,-20 LEA EAX,[ESP+8] PUSH EAX call 0040756C - FF25 58235100 JMP [512358] ; kernel32.GetLocalTime MOV CX,[ESP+E] MOV DX,[ESP+A] MOV AX,[ESP+8] 如果有人碰到这样的delphi，请发给我用下。。。手动修复oep就方便多了 2006-4-8 00:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复